Protección de acceso a la RED (NAP)

Presentación del tema: "Protección de acceso a la RED (NAP)"— Transcripción de la presentación:

1 Protección de acceso a la RED (NAP)
José Parada Gimeno ITPro Evangelist

2 Agenda Introducción-NPS NAP Fundamentos Arquitectura Interoperabilidad
Despliegue Solución de problemas

3 Los riegos de un mundo conectado
Internet Redes Interconectadas Datos Distribuidos Trabajadores Móbiles Extranet de Negocio Acceso Remoto Servicio Web Wireless Dispositivos Móbiles Perimeter Intranet Customers Web Server X Infrastructure Servers Extranet Server Remote Access Gateway Remote Employees

4 3/29/2017 9:52 PM Que es NPS? “Network Policy Server” es el sucesor del “Internet Authentication Services” (IAS) de versiones previas de Windows Server NPS es la implementación de Microsoft del standar RADIUS y soporta los principales RFC de RADIUS Solo esta disponible en Windows Server 2008 y tienes ventajas significativas frente a IAS, en especial NAP MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

5 Instalación del Role NPS
3/29/2017 9:52 PM Instalación del Role NPS NPS esta disponible como componente del Role de Servicio de Acceso a Red MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

6 Instalación Role NPS Instalación Role DHCP
Instalación NPS Instalación Role NPS Instalación Role DHCP

7 Usos de NPS NPS se puede usar para autenticar diferentes tipos de conexiones incluyendo VPN, 802.1x, wireless 802.1x y servicios de acceso remoto NPS proporciona definición y cumplimiento de políticas pero no es una fuente para autenticación. Cuando una petición de autenticación llega al NPS la comprueba contras su políticas y luego utiliza “Active Directory” para autenticar al usuario o dispositivo

8 Proceso de Autenticación Simple NPS
3/29/2017 9:52 PM Proceso de Autenticación Simple NPS El usuario solicita acceso al puerto El dispositivo de Red pregunata la usuario por credeciales El Dispositivo reenvia las credenciales y el detalle de la conexión El RADIUS evalua los detalles de la conexión con la política; reenvia las credenciales a AD para la autenticación Si se cumple la política y el usuario es autenticado, se le permite el acceso El dispositivo permite la conexión MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

9 Motor de Políticas Las peticiones se envian a una pila de procesamiento compuesta de varias etapas Cada etapa considera la petición como un parametro de Entrada/Salida Cada etapa devuelve uno de los siguientes valores: Rechazado, Aceptado o desechado Al final de la pila, la petición se transforma en un paquete RADIUS y se envia de vuelta a la red

10 Procesamiento de Políticas
3/29/2017 9:52 PM Procesamiento de Políticas Las políticas son reglas ordenadas secuencialmente Solo una política aplica a una petición de acceso If: Si el equipo es saludable, permite el acceso total Else: Ve a la siguiente política Politica 1: Saludable If: Si el equipo NO es Saludable, ponla en una red restringida y obliga a que instale las actualizaciones Else: Ve a la siguiente política Politica 2: No Saludable If: Si el equipo tiene nivel bajo, ponlo en una red restringida Else: Ve a la siguiente política Politica 3: Nivel Bajo Por defecto If: No se aplica ninguna otra política, deniega el acceso a red MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

11 NAP: Acceso basado en políticas
Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables” Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud. Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red

12 Network Access Protection Funcionamiento
Servidor de Políticas e.g. Patch, AV 3 DHCP, VPN Switch/Router 1 2 MSFT NPS No Cumple la Política Red Restringida 4 Fix Up Servers e.g. Patch Cliente Windows Cumple la Política El cliente solicita acceso a la red y presenta su estado de salud actual 1 5 Red Corporativa 2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) 3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT 4 Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa INF210

13 Opciones de Forzado Forzado Cliente Saludable Cliente no Saludable
DHCP Configuración IP completa. Acceso Total Conjunto de rutas restringido VPN (Microsoft and 3rd Party) Acceso Total VLAN Restringida 802.1X IPsec Puede comunicar con cualquier nodo en que confie Nodos saludables rechazan la conexión de sistemas no Saludables Complementa la protección a nivel 2 Funciona con la infraestructura existente Aislamiento Flexible

14 Forzado DHCP Configurar NPS Configurar DHCP Configurar Cliente
Configurar los Validadores de salud del Sistema Configurar la Política de Salud Configurar las Políticas de Red Configurar DHCP Configurar y habilitar Ámbito para clientes NAP Configurar Clases (Usuario por defecto y NAP) Configurar Cliente Habilitar los servicios de NAPA Habilitar el Cliente de Cuarentena DHCP y el CS

15 Forzado 802.1X Configurar el Switch 802.1X Configurar NPS
Obtener Certificado de equipo Configurar el Cliente RADIUS Configurar la Política de solicitud de Conexión Configurar los Validadores de salud del sistema Configurar la Política de Salud Configurar las Políticas de Red Configurar Cliente Habilitar los servicios de NAPA y WA Habilitar el Cliente de Cuarentena EAP y el CS Configurar los métodos de Autenticación

16 Forzado IPSec I Configurar DC y CA Crear Grupo de Exentos IPSec
Crear y Publicar Plantilla de Certificado Autenticación de Cliente Autenticación de Salud del Sistema Habilitar Auto-enrolamiento del certificados Instalar y configurar una CA Subordinada Instalar y configurar un HRA Permisos de HRA en CA Propiedades de la CA en el HRA

17 Forzado IPSec II Consulta Guías en www.microsoft.com/nap
Configurar NPS Configurar los Validadores de salud del sistema Configurar la Política de Salud Configurar las Políticas de Red Configurar Cliente Habilitar los servicios de NAPA y WA Habilitar el Centro de Seguridad Habilitar el Usuario de confianza IPSec Configurar el HRA como servidor de confianza Consulta Guías en

18 Protección LAN con NAP Aquí las tienes.
Servidores de Chequeo de Salud Red Restringida Servidores de Remediación Aquí las tienes. ¿Puedo obtener Actualizaciones? Actualización de políticas al servidor NPS Patch Status AV Status ¿Puedo acceder? Aquí esta mi estado de Salud Solicitando Acceso. Mi estado de salud MS NPS Tienes acceso restringido hasta que te actualices Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Según las políticas, el cliente cumple. Permitir Acceso. ¿Debe este cliente ser restringido basándonos en su estado de salud? Switch 802.1X Se permite el acceso total al Cliente Cliente

19 Protección Perimetral con NAP
Servidores de Chequeo de Salud Servidores de Remediación Actualización de políticas al servidor NPS Aquí las tienes. ¿Puedo obtener Actualizaciones? ¿Debe este cliente ser restringido basándonos en su estado de salud? ¿Puedo acceder? Aquí esta mi estado de Salud MS NPS Cliente Solicitando Acceso. Aquí esta mi nuevo estado de salud Se permite el acceso total a los recursos al Cliente Recurso bloqueado hasta que te actualices Según las políticas, el cliente cumple. Permitir Acceso. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Remote Access Gateway

20 Protección del Host con NAP
Sin Política Autenticación Opcional Autenticación Requerida ¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud ¿Esta el Cliente ok? SI. Emite el certificado de Salud No. Necesita Actualizarse NO obtienes tu certiificado. Actualizate. Aqui tienes el certificado de Salud  HRA X Necesito Actualizaciones. NPS Cliente Accediendo a la REd Aqui las tienes Servidor de Remediación

21 Configuración Switch D-Link Configuración NAP para 802.1X

22 Componentes Basicos de NAP
Cliente SHA – Agente de salud chequea la salud del sistema QA – Coordina SHA/EC EC – Método de Forzado Servidor de Remedios Proporciona parches, firmas AV , etc… Network Policy Server QS – evalua la salud del cliente SHV – evalua la respuesta SHA System Health Server Proporciona SHV System Health Servers Remediation Servers Updates Health policy Network Access Requests Client Health Statements NPS Policy Server (RADIUS) (SHA) MS SHA, SMS (SHA) 3rd Parties Health Certificate System Health Validator Quarantine Agent (QA) (EC) (DHCP, IPsec, 802.1X, VPN) (EC) 3rd Party EAP VPN’s Quarantine Server (QS) 802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers

23 Servicio de Cuarentena de Cliente Arquitectura
3/29/2017 9:52 PM Servicio de Cuarentena de Cliente Arquitectura La funcionalidad de Enrolamiento de Certificado de salud es responsble de la adquisición y mantenimiento de una representación X509 de una Declaración de Salud (SoH). © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

24 Enrolamiento del certificado de Salud
3/29/2017 9:52 PM Enrolamiento del certificado de Salud © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

25 802.1X o IPsec = Flexibilidad
NAP soporta ambos Cado uno tiene ventajas e inconvenientes Defensa en profundidad integrada en varias capas Acceso rápido a la red para clientes saludables. Autenticación 802.1X; extensiones a PEAP y 802.1X no son requeridos Agnóstico desde el punto de vista de Red, pero los fabricantes pueden innovar y proveer de valor Elección del cliente: habilidad para proteger el acceso a la red, acceso a las aplicaciones en cualquier combinación según necesidades y donde sea apropiado Despliegue combinado según necesidades, riesgos y la infraestructura existente

26 Configuración Cliente NAP 8021.X Autoremediación
Pruebas en Clientes NAP Configuración Cliente NAP 8021.X Autoremediación

27 Aplicativos de Seguridad Integradores de Sistemas
Interoperabilidad Anti-Virus Software de Seguridad Actualizaciones Aplicativos de Seguridad Dispositivos de Red Integradores de Sistemas

28 Interoperabilidad NAC/NAP
Client Partner System Health Agents (SHAs) Switches Routers Cisco ACS MS NPS Partner Policy Server EAPFAST 802.1x or UDP NAP Agent (QA) RADIUS HCAP EAP Host QEC EAP-FAST 802.1x EAPoUDP Escenario Host Credentials Authorization Protocol (HCAP) El Cliente se autentica en la red y envia su Certificado de Salud (SoH), incluyendo los datos opacos del (System Health Agent -SHA) al Cisco Secure Access Control Server (ACS) a través del Switch/Router. ACS envía el SoH al Microsoft Network Policy Server (NPS) vía el protocolo HCAP. El NPS evalúa la salud del cliente en coordinación con los validadores de salud de partners. ACS asigna el acceso a red basado en lo que establece el NPS sobre su estado de salud. El Cliente pasa por el proceso de remediación si lo necesita y se reautentica en el ACS si cambia si estado de salud.

29 Beneficios de la Interoperabilidad
SITO Summit 2005 3/29/2017 9:52 PM Beneficios de la Interoperabilidad Interoperabilidad y elección del cliente: Los clientes pueden elegir entre diferentes componentes, infraestructura y tecnología mientras implementan una única solución coordinadas Protección de la Inversiones: Permite al cliente rehusar o proteger las inversiones de sus despliegues NAC o NAP. Puede empezar desplegando Cisco NAC e integrarlo a posteriori con NAP. Agente único incluido en Windows Vista: Los equipos que ejecuten Windows Vista o Windows Server W2K8 llevan incluido el Agente NAP como parte del sistema operativo que se puede usar para NAP o NAC. Ecosistema de integración para ISV: Las APIs del cliente NAP sirven de interface única de programación para reportar la salud y forzar a NAP y Cisco NAC, simplificando el desarrollo te agentes de salud de terceros y componentes de forzado de salud Agente de despliegue y soporte a actualizaciones: Microsoft distribuirá los módulos de Cisco EAP modules a través de Windows Update / Windows Server Update Services Soporte a otras plataformas: Para soportar otros SO que no sean Windows Microsoft licenciara la tecnología del cliente NAP y las APIs que soportan a NAP y Cisco NAC a desarrolladores de terceros. Benefit Description Interoperability and customer choice Customers can choose both Cisco NAC and Microsoft NAP together Architectural choice and product options that best serve customer needs Support for heterogeneous CTA/NAP agent environments Cisco and Microsoft can offer a combined Network and Posture AAA product based on market and customer demands per cross licensing agreement Investment Protection Enables customer reuse and investment protection of their NAC and/or NAP deployments. Customers can begin deploying NAC today and integrate NAP with their Windows Vista and Windows Server “Longhorn” deployments Single agent included in Windows Vista NAP Agent is part of the core Windows Vista and Windows Server “Longhorn” OS NAP Agent will be used for both NAP and NAC on Windows Vista and Windows Server “Longhorn” Cisco developed EAP FAST / EAPoUDP modules for Windows Vista and Windows Server “Longhorn” CTA and NAP Agent available but not integrated on XP ISV ecosystem Single 3rd party API set for Windows Vista and Windows Server “Longhorn” Cross-platform support Microsoft to license NAP client APIs and protocols to 3rd parties for implementation on non-Windows OS’s Cisco to continue CTA development and support for non-Windows Vista and non-Windows Server “Longhorn” platforms Cisco continuing to submit NAC protocols for standardization through open standards processes Agent deployment and update support Microsoft to distribute Cisco EAP modules through Windows Update/Windows Server Update Services © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

30 Despliegue Planificación de Requerimientos
Definir la política de salud requerida Definir los métodos de forzado requeridos Planificar la arquitectura NAP Planificar las excepciones Definir roles y responsabilidades Fases del despliegue Pruebas en Laboratorio Piloto Modo de Reporte Forzado diferido Forzado

31 Solución de Problemas Fichero Batch simple para recolectar información
Ipconfig, Net start, Gpresults, Reg query Netsh nap client show state Netsh nap client show grouppolicy winmgmt /verifyrepository (salvagerepository) WMIC /NAMESPACE:\\root\securitycenter WMIC /NAMESPACE:\\root\ccm certutil -store my wevtutil epl Microsoft-Windows-NetworkAccessProtection/Operational SMS/WindowsUpdate logs SQL IPSec

32 Recursos Technet NAP Blog Foro Virtual Lab
NAP Blog Foro Virtual Lab

33 Recursos TechNet TechCenter de Windows Server 2008
Próximos webcasts en vivo Webcasts grabados sobre Windows Server Webcasts grabados otras tecnologías Microsoft Foros técnicos

34 Recursos TechNet Registrarse a la newsletter TechNet Flash
Obtenga una Suscripción TechNet Plus

35 El Rostro de Windows Server
está cambiando. Descúbrelo en